Vol.7 No.2 2014
33/78

研究論文:モジュール化に基づく高機能暗号の設計(花岡ほか)−97−Synthesiology Vol.7 No.2(2014)本安全性は、A以外の利用者(Bと呼ぶ)宛てに作成された再暗号化前の暗号文がA宛てに再暗号化される状況において、A以外のいかなる(Bも含む)利用者・プロキシが結託したとしても、A宛ての再暗号化暗号文は平文の情報を1ビットも漏らさず、かつ意味のある別の暗号文へと改変できないことを要求する。以上が代理再暗号化に求められる安全性であるが、定義や証明が複雑難解という暗号の安全性検証問題が発生していることがわかる。2.3 既存の代理再暗号化技術の例図2に、LibertとVergnaud[10]により提案された代理再暗号化技術の構成の一部を示す。この方式は、「ペアリング」と呼ばれる特殊な双線形写像(図中の関数e)をもつ巡回群を使ってスクラッチから設計、実装されている。また、使用される巡回群上でのある計算問題を解くことの困難性を仮定することによって2.2節で挙げた安全性の証明もなされており、代理再暗号化技術の中でも安全性・効率性を両立した代表的な方式として知られている。しかし、図からも明らかな様に方式の記述は複雑である。暗号文や各種鍵の各コンポーネントは、情報を隠すための部分、再暗号化を可能にするための部分、安全性に寄与する部分等に役割を明確に切り分けることができず、複雑に絡み合っている。方式の各パラメータの構成や計算順序は“職人芸的”に組み合わせられたものであり、暗号技術を専門としている我々でも個々の役割を明確に説明することは困難である。例えば、図2に示されるように、再暗号化暗号文中の構成要素C2', C2'', C2'''は互いに独立でなく、共通の内部乱数tを介して相関をもっている。また、図中に明示的に記述されていないが、構成要素C2''', C3, C4も同様に、共通の内部乱数rを介して相関をもっており、さらに、構成要素σは、C1, C3, C4に依存して生成がなされている。これらから、暗号文中のすべての構成要素は、お互いに密接な相関をもっており、したがって、代理再暗号化技術の各機能に対して、なんらかの形で関与していることがわかる。また、上記の「ペアリング」をもつ巡回群は、現在のところ楕円曲線を用いた暗号技術の原理についての一定の知識をもつ技術者以外には扱うのが難しい特殊なライブラリを用いるしかなく、モジュラー性・移植性にも乏しい。3 提案手法:方法論と代理再暗号化への適用例本章では暗号の安全性検証問題を解決するため、代理再暗号化技術を始めとする複雑な機能および構造をもつ高機能暗号の機能や安全性が、潜在的な利用者となる第三者に対しても理解が容易となり、実社会に対して円滑に導入されるようになるための方法論について論じる。また、実際に同方法論に基づき設計された代理再暗号化技術を紹介し、その構成の背後にある設計思想について解説を行う。3.1 提案する方法論の俯瞰従来は複雑な機能をもつ高機能暗号技術において要求される機能と安全性をスクラッチ設計によって満足しようとするケースがほとんどであり、またスクラッチ設計により設計がなされた方式は求められる機能や安全性を膨大で複雑な数式により不可分な形で同時に達成しようとしているため、第三者による正当性の検証が極めて困難になっているものと考えられる。ここでは高機能暗号技術の実社会への導入に関し、従来のスクラッチ設計が大きな阻害要因になっているものととらえ、この問題を解決するための方法論として、「実際に設計を開始する前段階において、要求される機能と安全性のモジュール化を可能な限り行うステップを挿入する」ことの重要性を示す(図3)。特に、暗号の安全性検証問題に鑑みて、モジュール化された機能や安全性の概念が、すでに十分に解析のなされている既存技術の直接的な利用で充足されるようなモジュール化を追求する。既存技術に関する専門的知識が要求されることはやむを得ないが、それらはすでに十分な解析がなされており、代理再暗号化に比べれば正当性を検証できる研究者・技術者が格段に多い技術となっている。このような機能と安全性に関する要件のモジュール化をしたうえで高機能暗号技術の設計を行うことにより、設計された方式が提供する機能や安全性について第三者に理解を促すことが可能となる。より詳しくは以下のような効果が期待できる。・モジュール化された個々の機能や安全性が、方式の構成中においてどのような貢献をしているかの把握が容易となる。・構成要素となる各技術は機能や安全性についてすでに深図2 代理再暗号化技術の一方式[10]の再暗号化機能再暗号化再暗号化鍵生成受信者B受信者A代理人送信者を用いて署名σを検証(2)(1)が成り立つかを確認する。を計算。を用いてユーザ の秘密鍵とユーザ の公開鍵を受信者Bに送る。をそれぞれ計算して、問題なければ、BA

元のページ 

page 33

※このページを正しく表示するにはFlashPlayer10.2以上が必要です